Dal dicembre 2025 una campagna di malware ha preso di mira gli utenti di Steam Workshop distribuendo wallpaper malevoli per Wallpaper Engine: sfondi animati apparentemente innocui che, una volta installati, eseguono backdoor, rubano credenziali Steam e installano miner di criptovalute. Secondo l'analisi di Kaspersky Securelist, i campioni individuati — decine, ciascuno con migliaia o decine di migliaia di download — sfruttano una caratteristica architetturale dell'applicazione per mascherare eseguibili Win32 completi dietro contenuti ludici funzionanti.
Il vettore rappresenta un'inversione di prospettiva nel dibattito sulla supply chain del modding. Fino a oggi l'attenzione si è concentrata su mod di Minecraft, skin di CS:GO o addon per giochi competitivi; l'uso di wallpaper desktop come piattaforma di esecuzione codice apre invece un fronte inatteso, sfruttando comportamenti abitudinari di download su una piattaforma considerata affidabile.
- Decine di wallpaper malevoli per Wallpaper Engine individuati su Steam Workshop, con migliaia o decine di migliaia di download ciascuno
- I wallpaper di tipo "application" sono eseguibili Win32 standalone con privilegi utente, non contenuti passivi
- Due metodi di infezione documentati: eseguibile diretto o archivio protetto da password nascosta in chiaro nel nome file o in configurazione JSON
- Un campione di dicembre 2025 installa Synaptics.exe (famiglia DarkKomet) e una versione modificata di AggregatorHost.dll per tracciare Steam, rubare credenziali e dirottare la sessione live
Come funziona l'architettura dell'infezione
Wallpaper Engine, applicazione con circa 100.000 utenti attivi giornalieri e quasi un milione di recensioni su Steam, supporta wallpaper di tipo "application": eseguibili completi che girano con i privilegi dell'utente. Gli attaccanti hanno sfruttato questa capacità per impacchettare malware all'interno di wallpaper ludici funzionanti, che avviano il gioco legittimo mentre eseguono il payload in parallelo.
Il campione analizzato da dicembre 2025 usa il file ._cache_GAME1.exe per lanciare NTRaholic, il titolo effettivo promesso dall'anteprima, mentre attiva l'infezione in background. Un altro meccanismo documentato usa archivi protetti da password: la chiave è nascosta in chiaro direttamente nel nome dell'archivio o in un file di configurazione JSON installato insieme agli altri componenti del wallpaper. L'utente, abituato a procedure di sblocco tecniche per contenuti personalizzati, non rileva anomalie.
"We discovered dozens of these malicious application wallpapers floating around Steam Workshop, and each one had already been downloaded thousands – or even tens of thousands – of times."
Il furto delle credenziali Steam: dal wallpaper al session hijacking
Il payload tecnico rivela un'attenzione specifica all'ecosistema Valve. Il campione installa Synaptics.exe, identificato come parte della famiglia DarkKomet: una backdoor che garantisce accesso persistente al sistema compromesso. In parallelo, viene distribuita una versione modificata della libreria di sistema AggregatorHost.dll.
Questa DLL, come documentato dall'analisi di Kaspersky, traccia l'applicazione Steam, cerca credenziali di account e dirotta la sessione live dell'utente. I dati raccolti vengono trasmessi da componente compromessa, secondo una descrizione tecnicamente incompleta nell'articolo originale — la frase riportata dall'Evidence Map si interrompe su "sends all the collected data" senza specificare destinazione o protocollo. Il dossier non chiarisce se i dati siano destinati a un server C2 noto, alla vendita su forum o all'uso diretto da parte degli operatori.
L'assenza di alert visivi durante l'esecuzione è un fattore critico. Come documentato nella citazione tecnica: "On the surface, this wallpaper sample... looks completely harmless. Once launched, there's absolutely nothing to trigger your suspicion... But behind the scenes, a full-blown infection is underway." L'utente vede il wallpaper funzionare e il gioco avviarsi; il malware opera in parallelo senza interfaccia apparente.
Geotargeting e scala della campagna
L'analisi di Kaspersky indica una concentrazione dell'attività su gamer in Cina e Russia. Il dato non è verificabile attraverso fonti indipendenti nel dossier a disposizione. La stima del numero di vittime resta perimetrata alla formula "migliaia o decine di migliaia" per singolo wallpaper, senza fornire un totale aggregato della campagna né granularità su quali elementi abbiano registrato il traffico più elevato.
Il numero di wallpaper malevoli scoperti è descritto come "dozzine", senza cifra precisa. Il dossier non documenta campioni precedenti al dicembre 2025, nè esclude che la campagna sia più duratura rispetto alla finestra di osservazione dell'analisi.
Cosa fare adesso
Per gli utenti di Wallpaper Engine, tre azioni specifiche emergono dal dossier tecnico. Prima: verificare nella propria libreria Steam Workshop la presenza di wallpaper di tipo "application" installati da fonti non controllate, in particolare quelli con download elevati ma pochi commenti o valutazioni. Seconda: esaminare i file di installazione nella cartella di Wallpaper Engine alla ricerca di eseguibili Win32 anomali o di archivi con password incorporate nel nome file o in configurazioni JSON. Terza: monitorare i processi attivi alla ricerca di Synaptics.exe o di istanze di AggregatorHost.dll in percorsi non di sistema.
Per la community di modding, il caso evidenzia la necessità di trattare i contenuti Workshop con la stessa cautela riservata ai download da siti terzi: la piattaforma Steam non applica sandboxing o analisi automatica equivalente a quella degli store tradizionali per i wallpaper di tipo "application".
Cosa non sappiamo: i limiti del dossier
Il brief non specifica se Valve abbia rimosso i contenuti malevoli dal Workshop, nè se abbia notificato gli utenti che hanno effettuato il download. Non emerge alcuna informazione su eventuali misure correttive adottate dal team di Wallpaper Engine. La natura esatta dei dati raccolti oltre alle credenziali Steam — saved payment methods, item inventory, chat history — non è dettagliata. Il dossier non documenta inoltre se i payload osservati si limitino a DarkKomet e miner di criptovalute, o se la campagna abbia distribuito anche ransomware, nè identifica destinazione finale dei dati esfiltrati.
Non risulta dall'analisi di Kaspersky se l'infezione si sia verificata al di fuori delle aree geografiche indicate, nè se esistano correlazioni infrastrutturali con campagne precedenti note. Il metodo di distribuzione — Steam Workshop come piattaforma di trust — rimane il elemento distintivo rispetto ai vettori tradizionali di distribuzione malware.
Il paradosso architetturale è qui centrale: Wallpaper Engine non presenta una vulnerabilità nel senso classico. La capacità di eseguire applicazioni complete è una funzionalità documentata, abusata dagli attaccanti per confondere il confine tra contenuto passivo e codice attivo. La piattaforma di modding diviene così supply chain di esecuzione, non solo di asset grafici.
FAQ
Perché Wallpaper Engine permette eseguibili completi?
I wallpaper di tipo "application" sono una funzionalità architetturale del software, non un bug. Permettono interattività avanzata ma espongono al rischio di codice non verificato quando la piattaforma di distribuzione — Steam Workshop — non applica sandboxing o analisi automatica equivalente a quella degli store tradizionali.
I wallpaper normali sono a rischio?
Il dossier documenta esclusivamente wallpaper di tipo "application", che sono eseguibili Win32. Non emerge che formati passivi come video o immagini statiche siano coinvolti nella campagna analizzata.
Come si manifesta l'infezione sul sistema?
Secondo la descrizione tecnica, non si manifesta: il wallpaper appare funzionante, il gioco associato si avvia, e l'attività malevola procede in background senza indicatori visivi di compromissione.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.